Aktuelles, Branche - geschrieben von dp am Sonntag, Mai 19, 2019 22:59 - noch keine Kommentare
Update erforderlich: Sicherheitslücke in Googles Bluetooth
Mark Miller von Venafi kommentiert Rückrufaktion
[datensicherheit.de, 19.05.2019] Google soll eine Schwachstelle in der „Bluetooth“-Version seines eigenen „Titan“-Sicherheitsschlüssels entdeckt haben, der sich mit Geräten über das drahtlose „Bluetooth Low Energy-Protokoll“ verbindet, anstatt durch NFC oder physisches Einfügen in einen Port. Im Rahmen seiner erweiterten Anti-Phishing und Account-Sicherheitsmaßnahmen bietet Google demnach umfangreiche Unterstützung für physische Authentifizierungstoken.
„BLE“-Dongles anfällig für Angriffe
Google zufolge bieten die „BLE“-Dongles als Teil seines „Advanced Protection Programms“ noch „aggressiveren Kontoschutz“. Aufgrund der zusätzlichen Sicherheit seien vor allem sicherheitsaffine Prominente, Menschenrechtsaktivisten und politische Dissidenten zumeist an den „BLE“-Dongles interessiert. Nun seien sie genau dadurch anfällig für Angriffe, „die in der Lage sind, diese ganz besondere Sicherheitslücke zu nutzen“.
Angriff mit Sicherheitsschlüssel innerhalb von 9 Metern vom Opfer entfernt
Laut Google müsste sich ein Angreifer mit einem Sicherheitsschlüssel innerhalb von neun Metern vom Opfer befinden, um mit diesem Schlüssel oder mit dem Gerät, mit dem der Schlüssel verbunden ist, zu kommunizieren. Außerdem müsste ein Angreifer sein eigenes Gerät schnell mit dem Dongle verbinden, d.h. in den Sekunden, in denen der Kopplungsprozess geschieht.
Alle Schlüssel der Marke „Titan“ mit „T1“ und „T2“ auf der Rückseite
Im Fall des erfolgreichen Kopplungsprozesses und wenn der Angreifer den Benutzernamen und das Passwort des Opfers hat, könne er auf seinem eigenen Gerät auf das Konto des Opfers leicht zugreifen. Angreifer könnten auch das Gerät des Opfers mit ihrem „Bluetooth“-Dongle weiter verbinden. Nähe und Schnelligkeit machten es schwierig, diese Schwachstelle auszunutzen, aber Kriminelle seien immer bereit solche Herausforderung anzunehmen. Google wird demnach alle Schlüssel der Marke „Titan“, die auf der Rückseite mit „T1“ und „T2“ gekennzeichnet sind, sowie andere „Feitian“-Schlüssel ersetzen – auch solche ohne das „Titan“-Branding.
Fehlkonfiguration offenbar relativ einfach auszunutzen
„Diese Fehlkonfiguration scheint sich relativ einfach ausnutzen zu lassen. Die Tatsache, dass sich der Anwender innerhalb von neun Metern vom Sicherheitsschlüssel entfernt befinden müssen, ist kein Problem, besonders wenn man bedenkt, wie schnell kompilierte und skriptbasierte Software ausgeführt werden kann“, kommentiert Mark Miller, „Director of Enterprise Security Support“ bei Venafi.
Froh, dass Google die Initiative ergreift und Schlüssel
Darüber hinaus betrieben viele Menschen Geschäfte an öffentlichen Orten wie Cafés und Flughäfen, so dass der Anschluss eines Dongles an ein Gerät nicht allzu weit hergeholt sei. Aus technologischer Sicht seien diese Schlüssel erstaunlich; sie machten die Sicherheit einfacher. Miller: „Es gibt jedoch keine perfekte Technologie, also bin ich froh, dass Google die Initiative ergreift und diese Schlüssel zurückruft.“
Weitere Informationen zum Thema:
datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden
datensicherheit.de, 04.09.2017
Moderne Autos als rollende Sicherheitslücken
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren